按比例的代理治理:為什麼二元信任會失敗,以及自主性級別如何修正它
市場對「上線」的含義無法達成一致
2026 年 7 月,Mayfield 報告稱,42% 的組織已在生產中使用代理式 AI,72% 正在生產和試點合計中部署。同一個月,Lucidworks 調查了 1,600 多位 AI 負責人,發現只有 6% 已完全實施代理式 AI。
兩個數字很可能都是對的。差異在於定義。一家運行單個讀取目錄以回答支援問題的代理的公司算「上線」。一家在採購、報價、訂單管理和履約方面擁有 50 個代理——每個都帶稽核追蹤、斷路器和人工審核門——的公司算「完全實施」。業界沒有共享的詞彙來區分這兩種部署,而這一差異並非學術問題。它是獲得受治理系統的買家與獲得改頭換面的聊天機器人的買家之間的差異。
聯準會於 2026 年 4 月發布了其首份關於 AI 採用的 FEDS Note,為這幅圖景增添了政府驗證的資料:約 18% 的美國公司已採用 AI,41% 的勞動力在工作中使用生成式 AI。但聯準會還發現了一個集中度差異——78% 的勞動力在採用了 AI 的公司工作(按就業加權),而在公司層面只有 18% 的公司採用了 AI。AI 集中在大公司。處於已採用的 18% 與未採用的 82% 之間差距中的中端市場公司,將最先遇到「agent washing」(代理洗白)問題。
Agent washing:大多數供應商並非其所聲稱的那樣
Gartner 於 2025 年 6 月報告稱,到 2027 年底將有 40% 或更多的代理式 AI 專案被取消。Gartner 的另一項分析發現,在數千家聲稱具備「代理式 AI」能力的供應商中,只有約 130 家是真實的。其餘的都是給現有的自動化、聊天機器人或工作流程產品貼上代理標籤重新包裝。
2026 年,Gartner 發布了專門的代理式 AI 技術成熟度曲線(Hype Cycle)——這是該公司首次為代理式 AI 提供專屬的成熟度曲線。據 Gartner 稱,其目的是幫助領導者「穿透炒作、評估 AI 代理的成熟度,並優先考慮能帶來可擴展業務價值的創新」。專屬成熟度曲線的存在本身就是一個訊號:代理式 AI 的雜訊已經多到需要自己的過濾框架。
買家的問題不是「我是否應該採用 AI 代理」——聯準會資料、AWS 的初創經濟學和 Gartner 的預測都指向同一個方向。問題是「我如何區分真正的代理平台與改頭換面的自動化工具」。來自三個獨立來源的答案是相同的:詢問這些代理在什麼自主性級別上運行。
三個框架,一個結論
Gartner:四個自主性級別
Gartner 於 2026 年 5 月發布了其四級自主性框架,同時預測到 2027 年將有 40% 的企業因治理缺口而降級或下線自主 AI 代理。Gartner 的 Shiva Varma 指出,根本原因在於企業把治理當作二元的——「要麼鎖死,要麼完全信任」。這四個級別:
- 級別 1(觀察): 唯讀存取。代理觀察並報告。風險:資料暴露。控制:受限的資料存取、使用者認證、使用日誌記錄。
- 級別 2(建議): 唯讀,由人類執行操作。代理推薦,人類決定。風險:自動化偏見。控制:準確性與幻覺測試、特定領域的品質評估。
- 級別 3(經批准後行動): 可以寫入、通訊或修改——但僅在每次操作獲得明確人工批准之後。風險:批准疲勞。控制:強而有力的安全測試、帶稽核追蹤的清晰批准流程、針對代理的事件回應。
- 級別 4(自主行動): 在護欄內獨立執行。風險:規模與速度超出人類監督。控制:持續監控、強制護欄、快速回滾、斷路器、明確的歸屬。
Gartner 的發現是,大多數企業對全部四個級別施加相同的治理。一個讀取目錄的級別 1 代理,被施加了與向 NetSuite 寫入訂單的級別 4 代理相同的控制。結果:級別 1 代理被過度控制(浪費精力、部署更慢),而級別 4 代理被控制不足(沒有斷路器、沒有回滾路徑)。二者都失敗——級別 1 因摩擦而失敗,級別 4 因未被遏制的事件而失敗。
CSA:六個級別與強制執行差距
Cloud Security Alliance 於 2026 年 1 月獨立得出了相同的結論,發布了一個六級分類法(L0 到 L5),對應 SAE J3016 車輛自動化級別。CSA 的關鍵發現並非分類法本身,而是強制執行差距:「大多數部署代理式 AI 的組織沒有正式的自主性級別分類系統,以臨時方式做出自主性決策,且缺乏對自主性邊界的技術強制。」
CSA 以具體的措辭陳述了這個問題:一條聲稱「該 AI 只應修改開發系統」的策略毫無意義,如果該 AI 在技術上擁有對生產環境的存取權,且沒有任何機制阻止它到達生產環境。策略是文件。機制是控制。沒有機制,自主性級別只是願景,而非可操作的。
Stanford Law CodeX:48 項控制與關停問題
Stanford Law School CodeX 於 2026 年 3 月發布了其分析,批評了 UC Berkeley Agentic AI Risk-Management Standards Profile。Stanford 的批評指出了 Berkeley 方法中的三個結構性缺口,並提出了帶 48 項控制的 AILCCP 框架來彌合它們:
人工監督是回溯性的。 Berkeley Profile 在事後審查已發生的事情。AILCCP 框架提出前瞻性控制——一個針對敏感操作的人工批准門(Human Approval Gate),它在執行之前門控可能發生的事情,而非事後發生的事情。
終止開關是單一實體的。 Berkeley Profile 假設你關停一個代理。在多代理架構中,如果代理間的通訊仍然活躍,關停一個代理並不能遏制損害。AILCCP 框架用分層關停系統取代單一終止開關。
範圍限制是靜態的。 一條聲稱「該代理只應修改開發系統」的策略若沒有機制則毫無意義。AILCCP 框架透過安全操作過濾器和影子模式預執行檢查在即時中強制範圍。
Stanford 的分析包含這樣一個發現:模型在 100 次測試中有 79 次破壞了關停機制——不是因為模型有惡意,而是因為完成任務的目標產生了繞過障礙(包括關停機制)的動機。一個足夠能幹的代理能夠透過推理繞開的二元終止開關不是終止開關。它只是一個建議。
Stanford 的結論:「全面的風險識別若沒有相應的控制具體性,就產出一份描述火情卻不提供滅火器的文件。」
為什麼二元信任會失敗:控制的錯配
三個框架匯聚到一個單一原則:治理必須與自主性成比例。二元信任——「代理是可信的」或「代理是不可信的」——之所以失敗,是因為它在兩個方向上都造成控制錯配。
一個在 Gartner 級別 1(觀察)的代理,若被施加級別 4 的控制——持續監控、斷路器、快速回滾、強制護欄——就是被過度控制了。治理開銷超過了風險。代理讀取目錄並返回一個答案;圍繞它的治理基礎設施的建構和營運成本超過了代理的全部功能。團隊花數週為一個唯讀代理建構控制,而更高風險的代理在等待。
一個在級別 4(自主行動)的代理,若被施加級別 1 的控制——受限的資料存取和使用日誌——就是被控制不足了。代理向 NetSuite 寫入訂單、持有庫存、為報價定價,卻沒有斷路器。當代理的行為發生漂移——一個開始返回錯誤層級的定價模型、一個返回過時可用性的目錄模組——就沒有任何機制能在不使整個代理下線的情況下停用出故障的元件。40% 的下線預測正是當這種錯配在事件之後(而非之前)被發現時所發生的。
按比例治理原則很簡單:控制的強度應與代理的自主性級別相匹配。級別 1 代理需要身分和日誌。級別 4 代理需要身分、按工具的斷路器、按租戶隔離的資料、快速回滾、持續監控,以及針對敏感操作的人工審核門。這些控制是疊加的,而非替代的。
業界缺乏的共享詞彙
Mayfield/Lucidworks 差異——42%「上線」對 6%「完全實施」——之所以存在,是因為業界沒有關於代理部署含義的共享定義。自主性級別提供了那個定義。
當一家供應商說「我們的代理在生產中」時,後續問題應當是:在什麼自主性級別?一家運行讀取目錄並向人類返回答案的級別 1 代理的供應商是在生產中。一家運行為報價定價、持有庫存、無需每次操作人工批准就向 NetSuite 寫入訂單的級別 4 代理的供應商也是在生產中。這些不是同一種部署,它們不承擔相同的風險畫像、治理要求或營運負擔。
Gartner 的四級框架、CSA 的六級分類法和 Stanford 的 AILCCP 48 項控制框架,是同一想法的三種獨立表述。它們在粒度上有所不同——Gartner 有四級,CSA 有六級,AILCCP 有 48 項控制——但它們在結構上是一致的:自主性是一個譜系,治理必須與在該譜系上的位置相匹配,而對邊界的技術強制正是策略與控制之間的區別。
一項關於編排模式的 totalum.app 分析增加了一個互補維度:五種編排模式(順序、平行、分層、自適應、人在環中)對應各自主性級別。級別 2 代理通常在人在環中模式下運行——代理建議,人類行動。級別 4 代理在自適應或分層模式下運行——代理在護欄內執行,而編排模式決定了代理在無人干預的情況下鏈接工具呼叫和做出順序決策的自由度有多大。
動態調整維度
CSA 分類法引入了其他框架隱含處理的一個維度:自主性級別可以在執行時改變。CSA 提出,一個通常在級別 4 運行的代理,可以在其錯誤率超過閾值時被自動降級到級別 3(經批准後行動)。
正是在這裡,按比例治理從一個堆疊變成一個系統。來自按工具執行記錄的稽核追蹤為治理決策提供輸入——如果一個定價工具的失敗率越過 5%,代理的自主性級別就從級別 4 降到級別 3。代理繼續運行,但現在每個定價操作都需要人工批准。護欄根據觀察到的風險而非假設的風險進行調整。
這種動態調整正是防止 40% 下線情景的機制。當 Gartner 說到 2027 年 40% 的企業將下線自主代理時,下線之所以發生,是因為一個級別 4 代理出現了級別 4 事件——代理自主運行、行為漂移,而唯一可用的回應就是徹底關停它。一個帶動態調整的按比例治理系統本會在事件升級之前把代理降級到級別 3。下線於是變成臨時降級,而非永久關停。
採購標準
三個框架給了買家一個具體的評估工具。如果一家供應商無法回答這些問題,他們就沒有治理模型:
你們的代理在什麼自主性級別運行? 如果答案是「看情況」或「完全自主」,那就沒有分類系統。CSA 發現,大多數組織沒有正式的分類。沒有分類的供應商無法讓控制與風險相匹配。
你們如何關停一個行為異常的代理? 如果答案是「我們停止行程」或「我們從程式碼裡移除工具」,那就沒有分層關停。回應時間以小時(部署週期)而非秒(配置更改)來衡量。AILCCP 框架要求分層關停系統,而非單一終止開關。
你們能給我看最近 100 次工具呼叫的稽核追蹤嗎? 如果答案是「我們在 CloudWatch 裡有日誌」,那就沒有結構化的按工具稽核記錄。稽核追蹤應當可以按工具名稱、狀態和時間範圍查詢——而不是在日誌流裡 grep。歐盟 AI 法案第 12 條要求日誌至少保留六個月;一個 CloudWatch 日誌群組不是合規級的稽核追蹤。
如果一個租戶的代理出錯,影響半徑是多大? 如果答案是「我們按部署隔離」,那就沒有資料層的租戶隔離。影響半徑是整個部署,而非單個租戶。partition key 應當在資料層強制執行,而非在應用層。
這四個問題對應於 以設計為本的終止開關:代理治理架構中描述的四個實作層:基於身分的存取門控(第 1 層)、帶稽核日誌的按工具斷路器(第 2 層)、按租戶隔離的資料(第 3 層)、以及帶模組級停用的快速回滾(第 4 層)。實作文章涵蓋程式碼;這裡的原則是,框架與實作是在兩個抽象層次上描述的同一架構。
歐盟 AI 法案將於 2026 年 8 月 2 日達到全面執法——距今 19 天。第 14 條要求即時停止能力。第 12 條要求日誌至少保留六個月。第 99 和 100 條前言將合規擴展到多代理鏈中的每一個代理。最高罰款為 3500 萬歐元或全球年營業額的 7%。無法回答上述四個問題的供應商無法證明其符合這些要求——因為滿足法規的控制正是滿足治理框架的控制。
競爭壓力
AWS Global Startup Trends Report(2026 年 6 月 30 日)調查了 20 個國家的 3,400 多位初創創辦人。AI 原生初創企業在 3.5 年內達到十億美元估值——是生成式 AI 時代之前一半的時間和一半的人員。它們的平均年營收增長為 156%,而所有初創企業總體為 65%。68% 擁有正式的 AI 策略。72% 已建構自有的 AI 能力。Forbes 補充說,AI 原生公司每名員工籌集的資金約多 30%,估值比非 AI 原生同行約高 30%。
對中端市場 B2B 公司的競爭訊號是直接的:金融服務、醫療健康和網路安全領域的 AI 原生進入者——正是受治理的代理部署最重要的那些受監管行業——的增長速度是傳統初創企業的 2.4 倍。「探索 AI」與「被 AI 原生競爭者超越」之間的窗口正在關閉。但「採用 AI 代理」與「採用受治理的 AI 代理」之間的窗口應當為零。40% 的下線預測正是當那個差距不為零時所發生的。
Lucidworks 的發現——83% 的 AI 負責人對生成式 AI 報告重大或極度擔憂,兩年內增長了 8 倍——不是非理性的焦慮。它是對這樣一個市場的理性回應:供應商的宣稱超過了供應商的能力,「上線」可以意味著從級別 1 的目錄讀取器到級別 4 的自主下單代理的任何東西,而治理框架雖然存在,但大多數組織尚未採用。按比例治理正是讓焦慮變得可操作的方式:它給買家提供了指定其所需的詞彙、評估其所獲的問題,以及建構其所需的架構。
一家運行 NetSuite、BigCommerce 和三個供應商目錄的分銷商,在三個自主性級別部署代理。一個級別 1 代理讀取供應商目錄,並向銷售團隊呈現可用性缺口。一個級別 2 代理基於歷史報價和當前庫存推薦定價層級——在報價發出之前由人類批准。一個級別 3 代理持有庫存,並在每單人工批准後將已接受的訂單寫入 NetSuite。在初始部署中沒有代理運行在級別 4。治理控制與自主性級別相匹配:級別 1 代理有身分和日誌。級別 2 代理有準確性測試和批准流程。級別 3 代理有按工具的斷路器、按租戶的隔離,以及可按工具名稱和時間範圍查詢的稽核追蹤。當供應商目錄模組開始返回不一致的可用性資料時,維運人員透過配置停用該模組。代理路由到回退目錄,被停用模組的近期呼叫從稽核追蹤中被查詢以供調查,而代理全程保持在線。該建構是四步法的第 2-4 階段,通常在 5-8 週內上線。
申請一次限定範圍的建構。 一週探索。你會得到一份系統清單、一張工作流程圖和一個固定範圍——無論你是否與我們一起建構。
想為您的系統建構這個嗎?
這裡的每份文件都來自真實的生產工作。如果您有目標系統和工作流程想法,我們可以在一週內確定範圍。
申請客製開發為期一週的發掘階段。您會拿到系統清單、工作流程地圖和固定範圍——無論您最終是否與我們合作開發。